Guía para la creación y modificación de recursos de AWS Control Tower

Recomendamos las siguientes prácticas al crear y modificar recursos en AWS Control Tower. Estas directrices podrían cambiar cuando se actualiza el servicio. Recuerde que el modelo de responsabilidad compartida se aplica a su entorno de AWS Control Tower.

Directrices generales

No modifique ni elimine ningún recurso creado por AWS Control Tower, incluidos los recursos de la cuenta de administración, las cuentas compartidas y las cuentas de los miembros. Si modifica estos recursos, es posible que tenga que actualizar la zona de aterrizaje o volver a registrar una OU, y la modificación puede dar lugar a informes de conformidad imprecisos.

En particular:
- Mantenga una grabadora AWS Config activa. Si elimina la grabadora Config, los controles de detección no podrán detectar ni informar de la desviación. Los recursos no conformes pueden declararse conformes debido a que no se proporcionó suficiente información.
- No modifique ni elimine los roles de AWS Identity and Access Management (IAM) creados en las cuentas compartidas de la unidad organizativa (OU) de seguridad. Si lo hace, es posible que tenga que actualizar estos roles en su zona de destino.
- No elimine el rol AWSControlTowerExecution de las cuentas de sus miembros, ni siquiera en las cuentas no inscritas. Si lo hace, no podrá inscribir estas cuentas en AWS Control Tower ni registrar sus OU principales inmediatas.
No despermita el uso de ninguna Regiones de AWS a través de SCP o AWS Security Token Service (AWS STS). Si lo hace, AWS Control Tower pasará a un estado indefinido. Si no permite regiones con AWS STS, su funcionalidad producirá un error en esas regiones, ya que la autenticación no estará disponible en esas regiones. En su lugar, utilice la capacidad de denegación de regiones de AWS Control Tower, tal como se muestra en el control Deny access to AWS based on the requested Región de AWS, que funciona en la zona de aterrizaje, o en el control Region deny control applied to the OU, que funciona en la OU para restringir el acceso a las regiones.
La SCP FullAWSAccess de AWS Organizations debe aplicarse y no debe fusionarse con otras SCP. El cambio en esta SCP no se considera una desviación; sin embargo, algunos cambios pueden afectar a la funcionalidad de AWS Control Tower de manera impredecible si se deniega el acceso a determinados recursos. Por ejemplo, si la SCP se separa o modifica, una cuenta puede perder el acceso a una grabadora AWS Config o crear un vacío en el registro de CloudTrail.
No utilice la API DisableAWSServiceAccess de AWS Organizations para desactivar el acceso al servicio de AWS Control Tower a la organización en la que configuró la zona de aterrizaje. Si lo hace, es posible que algunas características de detección de desviaciones de AWS Control Tower no funcionen correctamente sin el soporte de mensajería de AWS Organizations. Estas características de detección de desviaciones ayudan a garantizar que AWS Control Tower pueda informar con precisión del estado de conformidad de las unidades organizativas, las cuentas y los controles de su organización. Para obtener más información, consulte API_DisableAWSServiceAccess en la AWS OrganizationsReferencia de la API de .
En general, AWS Control Tower realiza una sola acción a la vez, que debe completarse antes de que pueda comenzar otra acción. Por ejemplo, si se intenta aprovisionar una cuenta mientras el proceso de habilitación de un control ya está en funcionamiento, se producirá un error en el aprovisionamiento de la cuenta.

Excepción:
- AWS Control Tower permite realizar acciones simultáneas para implementar controles opcionales. Para obtener más información, consulte Implementación simultánea para controles opcionales.
- AWS Control Tower permite crear, actualizar o inscribir hasta diez acciones simultáneas en cuentas con el generador de cuentas.

nota

Para obtener más información acerca de los recursos creados por AWS Control Tower, consulte ¿Qué son las cuentas compartidas?.

Consejos sobre cuentas y OU

Le recomendamos que mantenga un máximo de 1000 cuentas por OU registrada, de modo que pueda actualizarlas con la funcionalidad Volver a registrar una unidad organizativa (OU) siempre que sea necesario actualizar la cuenta, por ejemplo, al configurar nuevas regiones para su gobernanza.
Para reducir el tiempo necesario al registrar una OU, le recomendamos que mantenga el número de cuentas por OU en torno a 680, aunque el límite sea de 1000 cuentas por OU. Como regla general, el tiempo necesario para registrar una OU aumenta en función del número de regiones en las que opera la OU, multiplicado por el número de cuentas de la OU.
Se calcula que una OU con 680 cuentas puede tardar hasta 2 horas en registrarse y habilitar los controles, y hasta 1 hora en volver a registrarse. Además, una OU con muchos controles tarda más en registrarse que una OU con pocos controles.
Una de las preocupaciones que suscita prolongar el plazo de registro de una OU es que este proceso bloquee otras acciones. Algunos clientes prefieren disponer de más tiempo para registrar o volver a registrar una OU, ya que prefieren tener más cuentas en cada OU.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Recomendaciones para la configuración de grupos, roles y políticas

Cuándo iniciar sesión como usuario raíz